botón arriba

Dos nuevos avisos de SCI

Avisos de seguridad de Siemens de agosto de 2023

Fecha08/08/2023
Importancia5 - Crítica
Recursos Afectados
  • JT Open;
  • JT Utilities;
  • Parasolid;
  • JT2Go;
  • Solid Edge;
  • Teamcenter Visualization;
  • Siemens Software Center;
  • SIMATIC;
  • SICAM TOOLBOX II;
  • RUGGEDCOM;
  • Teamcenter Visualization.

Ver modelos concretos y versiones afectadas en la sección de 'Referencias'.

Descripción

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de 'Referencias'.

Detalle

Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 12 nuevos avisos de seguridad, recopilando un total de 37 vulnerabilidades de distintas severidades.

Las vulnerabilidades de severidad crítica identificadas se clasifican de la siguiente manera:

  • provisión incorrecta de la funcionalidad especificada (CVE-2023-24845);
  • inyección de comandos SQL (CVE-2023-37372).

El listado completo de identificadores CVE puede consultarse en las referencias.

Múltiples vulnerabilidades en productos de Phoenix Contact

Fecha08/08/2023
Importancia5 - Crítica
Recursos Afectados
  • PLCnext Engineer, versiones iguales o anteriores a 2023.3;
  • CLOUD CLIENT 1101T-TX/TX, versiones anteriores a 2.06.10;
  • TC CLOUD CLIENT 1002-4G, versiones anteriores a 2.07.2;
  • TC CLOUD CLIENT 1002-4G ATT, versiones anteriores a 2.07.2;
  • TC CLOUD CLIENT 1002-4G VZW, versiones anteriores a 2.07.2;
  • TC ROUTER 3002T-4G, versiones anteriores a 2.07.2;
  • TC ROUTER 3002T-4G ATT, versiones anteriores a 2.07.2;
  • TC ROUTER 3002T-4G VZW, versiones anteriores a 2.07.2.
Descripción

CERT@VDE ha  informado y coordinado la publicación de varias vulnerabilidades descubiertas en productos de Phoenix Contact, incluyendo dispositivos TC ROUTER, TC CLOUD CLIENT, CLOUD CLIENT y PLCnext Engineer, que podrían permitir a un atacante una ejecución de código en el contexto del navegador del usuario, una ejecución remota de código, el robo de datos o impedir que el sistema funcione correctamente.

Solución

Phoenix Contact recomienda encarecidamente actualizar a la última versión de firmware disponible de los dispositivos TC ROUTER, TC CLOUD CLIENT y CLOUD CLIENT, así como a la versión 2023.6 de PLCnext Engineer.

Detalle

En los dispositivos PLCnext Engineer se utiliza la biblioteca LibGit2Sharp que contiene diferentes vulnerabilidades, permitiendo la más crítica, la utilización de archivos git especialmente diseñados conducen a una ejecución remota de código. Se ha asignado el CVE-2019-1353 para esta vulnerabilidad.

En los dispositivos TC ROUTER, TC CLOUD CLIENT y CLOUD CLIENT la vulnerabilidad más crítica permitiría a un atacante remoto no autenticado usar un XSS reflejado dentro de la página del visor de licencias de los dispositivos. Se ha asignado el CVE-2023-3526 para esta vulnerabilidad.

El resto de identificadores CVE no críticos pueden consultarse en los avisos del CERT@VDE.